Zelfde als hyves, maar hotswap betekent niet perse dat je hem er direct uitkan trekken, en dan wat heb je een kwart hd met blocks ? aangezien ze meestal in raid 5 of 10 staan ?
heb je alleen partial information, wie zegt dat de tapes niet encrypted zijn ?
In andere datacenters doet de security dat, eens in de zoveel tijd.
Dan nog hangt elk pad vol met camera''s Servers geven meldingen van fysieke breaches.
Je eventlogging geeft fouten van failed logging attempts,
Usb staat geblokkeerd.
Server poweroff merken ze ook, je komt echt niet zo makkelijk dat DC uit.
Servers zitten in apparte VLAN's , monitoring port is gekilled.
Het hoeft niet altijd een risico zijn.
Wie zegt dat de netwerkpoorten actief zijn ?

Je kan echt niet met 10 backup tapes langs de beveiliging of met meerdere hardeschijven.
Die security let op wat je doet, en vooral nu.
Je mag ze misschien wel een cursus kabel ordenen geven.
Firewalls uitzetten, de verbindingen worden daardoor gerouteerd waarschijnlijk.
Wat je nu krijgt is dat je meer belasting betaald omdat je in een suite moet zitten of een cage.
Waar je ook nog eens rekening mee moet houden dat mensen gewoon fucked zijn als ze daar iets uitvreten, als je in sommige DC's al schreeuwt gaat de beveiliging al af.
Nooit van in en uitschrijven van hardware gehoord?


Maar voor veel aanbestedingen voor de overheid heeft je datacenter bepaalde (fysieke) security certficaten nodig.

@debeveiligingsupdate
Leuke DB error !


@ redactie, Welk DC+suite :+

Slotje erop....op de kasten bedoel ik en die dan ook gebruiken!!!

De kasten staan open omdat het bedrijf wat door de UWV en Achmea als verantwoordelijk zijn aangewezen, waarschijnlijk intern geen goed protocol hebben voor sleutel beheer, en als iemand een back-uptape moet wisselen, dus niet de sleutel voor de kast heb.

Ik denk dat hier voor de makkelijke oplossing is gekozen, en dat is dus de kast gewoon lekker open laten.

Ik vind het vooral niet kunnen dat die foto´s open en bloot op internet gegooid worden. Nu heb ik een heel goed beeld van wat voor hardware er gebruikt wordt, en dus wat voor software ik aan zou kunnen treffen. Een beetje slimmerik heeft nu, op basis van de fotos een aardig idee hoe de netwerkarchitectuur in elkaar zit.

Ik sluit me aan bij Napped, de fysieke beveiliging in het datacenter is wellicht niet helemaal okee, maar hoe zit het met de toegangscontrole tot het datacenter? In vrijwel alle gevallen waarin ik een datacenter heb betreden was dat niet zomaar, maar moest ik een legitimatiebewijs overleggen en was bekend dat er iemand van een bepaald bedrijf zou komen.

Het is slordig, maar om hiervoor een minister naar de kamer te roepen...

Volgens mij mag dat nog geen eens in de regels van het Datacenter, geen foto's maken en helemaal niet uploaden.
UWV en achmea zouden desnoods nog de beveiligings update laten aanklagen, en de provider.
Kunnen ze een suite claimen.
Ook gelijk opgelost :Y)

Eens met (bijna) al het bovenstaande, hoewel het verhaal van Napped wel een heel erg hoog 'Ja maar dan & als' gehalte heeft.

We moeten echter 1 ding goed begrijpen; ook de ICT/ISP wereld ontwikkeld zich steeds verder en dat heeft tot gevolg dat ook onze wereld nu een Story en een Privé nodig hebben, respectievelijk Webwereld en ons aller Brenno de Winter als de reïncarnatie van Henk (niet te) Vermeijden.

We bepalen normaliter zelf welk niveau lectuur we tot ons nemen, maar in dit geval is er inderdaad een jammerlijke uitzondering gemaakt door deze overwegend serieuze site.
Bij Brenno staat de sensatie waarde voorop en komt enig technisch benul er slechts langzaam achteraan, meestal aangedragen door mensen zoals wij.

Als we dat laatste nu eens achterwege laten, zal deze nieuwe ster aan het ICT firmament hopelijk snel weer doven.... ;)

UWV heeft uitbesteed aan diverse partijen... om welk datacenter gaat het eigenlijk?

Volgens mij is Napped nogal kortzichtig. Tuurlijk mag je geen foto's maken en zijn er regels op gesteld waar je je aan dient te houden binnen zoon center. Maar je mag ook geen exploit uitvoeren op een systeem als je daar niet geautoriseerd bent omdat te doen. Iedereen weet immers dat niet iedereen zich aan de regeltjes houd. Daarom kun je in mijn ogen beter voorkomen door gewoon die zooi af te sluiten en te zorgen dat alles tip top in orde is ( zeker als je een soort van voorbeeld rol hebt, en zij niet de code van informatiebeveiliging na leven )

En als Napped werkelijk denkt dat bovengenoemde maatregelen je beschermen denk ik dat je de plank goed mis slaat.

Tuurlijk beschermen ze je niet, maar ze geven wel een bericht dat er iets loos is.
Tuurlijk kan je een passpoort faken, valse kentekenplaten gebruiken en servers eruithalen, tuurlijk kan je ook nog weg komen.
Maar er zijn genoeg camerabeelden van je.

maar het hoeft echt niet de schuld te zijn van UWV maar bijvoorbeeld van hun netwerk leverancier.
Je mag er ook niet bellen, maar als de bewaking een beetje oplet, mag je ook niet met je telefoon in je hand lopen.
En soms heb je niet de mogelijkheid tot suites of cages.
Neem DCG afaik was het 1 grote zaal met racks.
En wat nou als UWV ze wel afsluit, maar de netwerk leverancier moest onderhoud plegen in elk rack.

Met alle camera's en beveiliging is het dus wel mogelijk om tegen de regels in foto's te maken. Het lijkt me dan ook dat je best een backup tape naar buiten kan smokkelen ongeacht de maatregelen die genomen worden. Ik vind het wel ronduit slordig en er een aardig risico aan vast zitten.

Aan de foto's te zien is het een Versatel DC, de gyroscoop weg waarschijnlijk. Niet onlogisch ook, aangezien UWV een Versatel klant is/was (mede door de overname van Svianed).

Wel onlogisch is dat die spullen niet in een afgeschermde ruimte (cage, eigen suite) staan. Die standaard sloten op de kast hebben weinig zin.

Sinds wanneer mogen daar camera's naar binnen?

Het is dus theoretisch mogelijk dat Achmea inzicht heeft in lopende arbeidsongeschiktheids procedures van het UWV. Dat geeft wel een oneerlijk concurentievoordeel ten opzichte van andere ziekteverzekeraars. Toch?

Nou, dan moeten die ook maar in dat data datacenter gaan zitten misschien ;-)

Daar heb je een punt waar Brenno weer dankbaar gebruik van zal gaan maken.... >: >

Wie heeft nu het epd nodig als je direct aan de gegevens kunt komen.
Hoe is het is gods naam mogelijk dat deze twee verschillende instanties die wettelijk uit elkaar gehouden moeten worden ivm privacy en concurentie vervalsing in een computerzaal zitten...Das de kat op het spek binden..... Of erger is bewust er op gebonden!!!

omfg sjonnie, wel een beetje bij de les blijven heh ......

in dit verhaal wordt gesproken over beveiliging camera's die beheert worden door het personeel van het datacenter.


Maargoed ik hoop dat dit bericht mensen ook bewust maakt van de gevaren van bijv het EPD (Electronisch Patienten Dossier) de overheid blaat en blaat en blaat nog meer en vervolgens zijn zij zelf de grootste instantie die zich niet aan hun eigen regels kunnen of willen houden.

Daarnaast kan ik uit eigen ervaring melden dat dit nog maar het topje van de ijsberg is en dat de overheid van de meeste bedrijven haar zaakjes het slechts op orde heeft met betrekking tot beveiliging en databescherming.

Ze vinden het hier in nederland belangrijker tijd te voldoen aan zo iemand als Wilder voor de rechter dagen om het geen wat hij gezegd zou hebben, als beledigend ervaren kan worden. Wat mij betreft mag de politiek terug naar school......

Waarom geeft die woordvoerder Agterhof me stellig de indruk dat hij van toeten nog blazen weet en zich onbewust onbekwaam probeert voor te doen als het UWV? Als hij een beetje inzicht had gehad had hij deze zogenaamd verbaasde reactie niet geuit. Zelfs al zou het UWV de boel contractueel hebben ondergebracht bij derden, vol met regeltjes, juridische indekking etc etc. Dan nog, wiens verantwoordelijkheid is het dan dat de zaken van het UWV en haar clienten daadwerkelijk goed worden behartigd? Juist, het UWV zelf! Volgens de woordvoerder is het UWV kennelijk verbaasd over haar eigen onkunde. Verbaasd dat als het UWV het vertikt om te controleren wat de situatie bij een dienstverlener is en in hoeverre dat strookt met de eigen regels en belangen, het dan volkomen uit de hand kan lopen.

/* De servers van UWV en Achmea Vitalis staan in een gedeelde serverruimte*/

Wie heeft nu het epd nodig als je direct aan de gegevens kunt komen.
Hoe is het is gods naam mogelijk dat deze twee verschillende instanties die wettelijk uit elkaar gehouden moeten worden ivm privacy en concurentie vervalsing in een computerzaal zitten...Das de kat op het spek binden..... Of erger is bewust er op gebonden!!!

Ik heb nu nergens meer vertrouwen meer in.....

Toch wel triest dat iedereen er maar van uit lijkt te gaan dat bij de Telecomboer van UWV allerlei servers staan met vetrouwelijke gegevens. Bij mijn weten staan hun servers bij IBM, won die indertijd immers niet die aanbesteding? Op de foto's zie ik iets van DNS en firewal's daar staan vast geen vertrouwelijke gegevens op. Het lijkt eerder een kast met internet DMZ apparatuur die gefotografeerd is. Ook die Sun machines voor mail dat duidt meer op iets van mail transit naar internet dan op Exchange servers oid. UWV lijkt me ook veel te groot om mail te kunnen draaien op 4 van die kleine sun bakjes.

Nergens staat aangegeven of die journalist zomaar is binnen gelopen of dat hij netjes was aangemeld en geauthoriseerd. En mogelijjk zelfs begeleid toegang had tot die colocation ruimte. Ook op webwereld wordt die vraag netjes omzeild. Het lijkt me eerder een mooi opgeklopt verhaal dan dat er feitelijk iets aan de hand is.

Als ik een van de klanten van dit DC zou zijn , als eerste aktie een claim richting DC (onbevoegde toelaten zonder begeleiding is vaak tegen contract regels)

Als tweede actie ondernemen richting dienstverlener zodat die de benodigde akties onderneemt (of contract aanpassen als dit niet voldoende blijkt te zijn) om de veiligheid te waarborgen.

een stille hint dat de dienstdoende jojo ontslagen wordt lijkt me ter zake.
Eisen dat de betreffende fotograaf op de zwarte lijst komt, blijkbaar is hij niet te vertrouwen met gegevens en apparatuur die niet van hem zijn. hij overtreedt daar zo'n beetje iedere gedragsregel mee.

Of systemen wel of niet in dezelfde ruimte staan doet qua uitwisseling van gegevens niet ter zake.

Je denkt toch zelf niet dat er enige verbinding zou zijn tussen die systemen ? , talloze (overheids)regels voorkomen namelijk dit soort efficiente koppelingen, tot kafka aan toe.

oh, buiten fraude is het UWV dus ook in andere dingen goed..

@ Napped :

"Zelfde als hyves, maar hotswap betekent niet perse dat je hem er direct uitkan trekken, en dan wat heb je een kwart hd met blocks ? aangezien ze meestal in raid 5 of 10 staan ? heb je alleen partial information, wie zegt dat de tapes niet encrypted zijn ?"

Het principe met dit soort systemen behoort vrij simpel te zijn - de apparatuur dient in een afgesloten ruimte te staan, waar niet zomaar iedereen die in zo'n DC komt maar niets met deze systemen te maken heeft bij kan. Al je opmerkingen doen daar in het geheel niets aan af, en praten deze gang van zaken dus niet goed.

Iemand die die tapes of hardware meeneemt kan dit doen om aan informatie te komen, maar dit hoeft niet. Misschien is het gewoon om de spullen te doen. En ook als het encrypted is, is er nog steeds sprake van verloren data wanneer de tapes, of andere spullen, verdwijnen.

"Die security let op wat je doet, en vooral nu."

Misschien dat ze een paar dagen wat beter opletten dan anders, maar de security zit er niet als vervanging van sloten op de kasten (anders kan men in alle DC's de sloten vooraan wel weglaten, er zit toch beveiliging?).

"Nooit van in en uitschrijven van hardware gehoord?"

Nooit in een DC gewerkt ? Men gaat je echt niet fouilleren wanneer je naar buiten loopt. Met een server of router gaat misschien wat lastig, maar tapes of een harddisk kan je bijvoorbeeld gemakkelijk meenemen zonder dat de beveiliging dat opmerkt.

Mensen die daar zelf een server hebben hangen zouden ook een harddisk of tape kunnen pakken, formatteren, en in hun eigen systeem kunnen hangen, zodat ze niet eens de ruimte verlaten met deze hardware (toegegeven, er zijn camera's, maar dat is ook niet waterdicht), en eventueel zouden ze ook harddisks of tapes in hun systeem kunnen hangen om data te kopieren / door te sturen, waardoor informatie ook het DC verlaat zonder dat dit fysiek wordt meegenomen.

Ik zie geen enkel excuus wat deze gang van zaken rechtvaardigt.

"Als ik een van de klanten van dit DC zou zijn , als eerste aktie een claim richting DC (onbevoegde toelaten zonder begeleiding is vaak tegen contract regels)"

Het DC heeft fouten gemaakt, maar de klant moet ook bij zichzelf kijken; de eigen medewerkers zijn ronduit slordig geweest door hun kasten niet af te sluiten e.d.

"Op de foto's zie ik iets van DNS en firewal's daar staan vast geen vertrouwelijke gegevens op. "

Firewalls e.d. zijn dan ook niet vertrouwelijk, en het is geen probleem wanneer mensen fysieke toegang hebben tot deze apparatuur ? Een beetje kortzichtig, want met deze apparatuur regel je de toegang tot allerlij systemen met (onder meer vertrouwelijke) informatie. Daarnaast staat er confidential information op, die ook handig kan zijn om op andere systemen in te breken (snmp strings, passwords, tacacs/radius servers en ga zo maar door). Voor een hacker is de configuratie van dit soort hardware zeer waardevol.

"Nergens staat aangegeven of die journalist zomaar is binnen gelopen of dat hij netjes was aangemeld en geauthoriseerd. En mogelijjk zelfs begeleid toegang had tot die colocation ruimte. Ook op webwereld wordt die vraag netjes omzeild. Het lijkt me eerder een mooi opgeklopt verhaal dan dat er feitelijk iets aan de hand is."

Volgens mij snap je het probleem niet helemaal; ook zonder die journalist waren de problemen niet anders geweest.

"Toch wel triest dat iedereen er maar van uit lijkt te gaan dat bij de Telecomboer van UWV allerlei servers staan met vetrouwelijke gegevens. Bij mijn weten staan hun servers bij IBM, won die indertijd immers niet die aanbesteding? "

Incorrect, al kan ik daar helaas niet verder op in gaan.

Ik wil er nog even op wijzen dat je geen kabels in hoeft te pluggen om informatie te stelen. Tapes zijn immers voor hande en computers staan er genoeg om die in te lezen, te beschrijven. Je hoeft alleen maar twee nerds om te kopen om vrijwel onzichtbaar data te verduisteren. Zelfs met het tappen van alle verbindingen binnen het DC door de AIVD is dit niet te detecteren.

Gewoon een klassieke dropbox, maar dan met tapes.

Dat de meeste kasten niet op slot zitten is geen nieuws. Wel nieuws is dat zulke (overheid)instanties in een gedeelde ruimte zitten. Ik heb m'n server thuis staan en kan met recht zeggen dat ik de beveiliging beter op orde heb dan de overheid.